제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

지금 패치: 적극적인 공격을 받고 있는 심각한 Fortinet RCE 버그

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 98

예상대로, 사이버 공격자들이 덤벼들었다 중요한 원격 코드 실행(RCE)에 대해 Fortinet 엔터프라이즈 관리 서버(EMS)의 취약점 지난 주에 패치가 적용되어 영향을 받는 시스템에서 시스템 관리자 권한으로 임의의 코드와 명령을 실행할 수 있게 되었습니다.

다음과 같이 추적되는 결함 CVE-2024-48788 CVSS 취약성 심각도 점수 9.3점 만점에 10점을 받은 이 점수는 25월 XNUMX일 CISA(사이버보안 및 인프라 보안국)가 추가한 XNUMX가지 점수 중 하나였습니다. 알려진 악용된 취약점 카탈로그, 활성 악용 시 보안 취약점을 추적합니다. 포티넷은 사용자에게 결함에 대해 경고했습니다. 이번 달 초에 패치를 적용하고 조용히 업데이트했습니다. 보안 권고 그 착취에 주목하십시오.

특히, FortiClient 중앙 관리 콘솔의 VM 버전인 FortiClient EMS에서 결함이 발견되었습니다. 이는 다음에서 유래합니다. SQL 주입 오류 서버의 직접 연결된 스토리지 구성 요소에 있으며 서버와 이에 연결된 엔드포인트 간의 통신에 의해 촉진됩니다.

Fortinet의 권고에 따르면 "SQL 명령에 사용되는 특수 요소를 부적절하게 무력화하면…FortiClientEMS의 취약점[CWE-89]으로 인해 인증되지 않은 공격자가 특별히 조작된 요청을 통해 승인되지 않은 코드나 명령을 실행할 수 있습니다."라고 합니다.

CVE-2024-48788에 대한 개념 증명 악용

현재 이 결함의 악용은 지난 주에 발표된 이후에 이루어졌습니다. 개념 증명(PoC) 익스플로잇 코드 및 분석 Horizon.ai 연구원 결함을 어떻게 악용할 수 있는지 자세히 설명합니다.

Horizon.ai 연구원들은 등록된 엔드포인트 클라이언트와 통신을 담당하는 서버의 기본 서비스인 FcmDaemon.exe가 해당 클라이언트와 상호 작용하는 방식에 결함이 있음을 발견했습니다. 기본적으로 이 서비스는 연구원들이 PoC를 개발하는 데 사용한 들어오는 클라이언트 연결을 포트 8013에서 수신합니다.

이 서비스와 상호 작용하는 서버의 다른 구성 요소는 다양한 다른 서버 구성 요소의 요청을 SQL 요청으로 변환한 다음 Microsoft SQL Server 데이터베이스와 상호 작용하는 데이터 액세스 서버인 FCTDas.exe입니다.

Fortinet 결함 악용

결함을 악용하기 위해 Horizon.ai 연구원은 먼저 설치 프로그램을 구성하고 기본 엔드포인트 클라이언트를 배포하여 클라이언트와 FcmDaemon 서비스 간의 일반적인 통신 형태를 확립했습니다.

Horizon.ai 익스플로잇 개발자 James Horseman은 "엔드포인트 클라이언트와 FcmDaemon.exe 간의 일반적인 통신은 TLS로 암호화되어 있으며 합법적인 트래픽을 해독하기 위해 TLS 세션 키를 덤프하는 쉬운 방법은 없는 것 같았습니다."라고 설명했습니다. 게시물에.

그런 다음 팀은 서비스 로그에서 통신에 대한 세부 정보를 수집하여 연구원에게 FcmDaemon과 통신하기 위한 Python 스크립트를 작성하는 데 충분한 정보를 제공했습니다. 몇 번의 시행착오 끝에 팀은 메시지 형식을 검사하고 FcmDaemon 서비스와의 "의미 있는 통신"을 활성화하여 SQL 주입을 트리거할 수 있었다고 Horseman은 썼습니다.

“우리는 다음과 같은 형태의 간단한 수면 페이로드를 구성했습니다. ' 그리고 1=0; WAITFOR DELAY '00:00:10′ — '”라고 게시물에 설명했다. "우리는 응답이 10초 지연되는 것을 확인했고 우리가 익스플로잇을 촉발했다는 것을 알았습니다."

Horseman에 따르면, 이 SQL 주입 취약점을 RCE 공격으로 전환하기 위해 연구원들은 Microsoft SQL Server에 내장된 xp_cmdshell 기능을 사용하여 PoC를 생성했습니다. “처음에는 데이터베이스가 xp_cmdshell 명령을 실행하도록 구성되지 않았습니다. 그러나 몇 가지 다른 SQL 문을 사용하면 간단하게 활성화되었습니다.”라고 그는 썼습니다.

PoC는 xp_cmdshell 없이 간단한 SQL 주입을 사용하여 취약점만 확인한다는 점에 유의하는 것이 중요합니다. 공격자가 RCE를 활성화하려면 PoC를 변경해야 한다고 Horseman은 덧붙였습니다.

Fortinet의 사이버 공격 증가; 지금 패치하세요

Fortinet 버그는 인기 있는 표적입니다. 공격자를 위한 보안 회사의 연구원 Chris Boyd Tenable은 그의 자문에서 경고했습니다. 그는 14월 XNUMX일에 처음 게시된 결함에 대해 설명했습니다. 그는 다음과 같은 몇 가지 다른 Fortinet 결함을 예로 들었습니다. CVE-2023-27997, 여러 Fortinet 제품의 심각한 힙 기반 버퍼 오버플로 취약점 CVE-2022-40684, FortiOS, FortiProxy 및 FortiSwitch Manager 기술의 인증 우회 결함 — 위협 행위자에 의해 악용됨. 실제로 후자의 버그는 공격자에게 시스템에 대한 초기 액세스 권한을 부여할 목적으로 판매되기도 했습니다.

“익스플로잇 코드가 공개되었고 과거에 다음을 포함한 위협 행위자들이 Fortinet 결함을 남용한 적이 있습니다. 지능형 지속 위협(APT) 공격자 Boyd는 Horizon.ai 출시 후 자신의 권고에 대한 업데이트에서 이렇게 썼습니다.

Fortinet과 CISA는 또한 초기 권고와 PoC 익스플로잇 공개 사이의 기회 창을 사용하지 않은 고객에게 다음을 촉구하고 있습니다. 패치 서버 이 최신 결함에 즉시 취약합니다.

조직이 결함이 악용되고 있는지 식별할 수 있도록 Horizon.ai의 Horseman은 환경에서 손상 지표(IoC)를 식별하는 방법을 설명했습니다. 그는 “C:Program Files (x86)FortinetFortiClientEMSlogs에는 인식할 수 없는 클라이언트의 연결이나 기타 악의적인 활동을 검사할 수 있는 다양한 로그 파일이 있습니다.”라고 썼습니다. "명령 실행을 위해 xp_cmdshell이 ​​활용되고 있다는 증거를 MS SQL 로그에서 검사할 수도 있습니다."

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.